安全研究人员和技术架构师SpecterOps他们发现,在过去十年中,几乎每一个Active Directory安装都存在某种配置错误的问题。错误配置可能导致安全问题,例如特权升级方法。
研究人员已经写了一篇论文(pdf)有关活动目录证书服务(AD CS)的信息,以提高攻击者和防御者对围绕这一复杂、广泛部署且经常被误解的系统的安全问题的认识。他们也会在而言,美国2021.
Active Directory证书服务
世界各地无数的组织使用Windows Server作为其IT基础设施的基础。它们中的许多还使用公钥基础设施(PKI)来满足身份验证需求。例如,PKI用于基于证书的认证,保护web服务器的安全(SSL),以及用于文档的数字签名。
Active Directory证书服务(AD CS)是服务器功能,允许您设置PKI,以便它可以提供公共密钥、数字证书和组织的数字签名。所有这些都可以通过其他方式获得,但对于大型组织来说,AD CS可以大规模地做到这一点。这主要是因为Active Directory域服务拥有域中每个成员的所有相关信息,并链接到AD CS,允许它使用这些信息。
滥用AD CS
在他们的论文中,研究人员列出了AD CS中可能被恶意滥用的三个领域:
- 证书盗窃,可以存活的密码更改,并可以绕过智能卡身份验证。
- 特权升级方法,允许攻击者充当域中的任何用户,包括他们的特权。
- 域持久性攻击允许攻击者以任何Active Directory用户的身份登录,以便他们可以在任何时候使用他们的特权。
正如您所看到的,研究人员真正关注的是用户身份验证以及如何执行基于证书的身份验证。
论文提供了很多细节和很多场景来实现上述一个或多个恶意目的,这可以真正帮助网络罪犯渗透组织的网络,并提供了进入网络后横向移动的手段。这些细节超出了本文的范围,但我可以推荐那些对具体细节感兴趣的读者阅读这篇论文(142页)。
太复杂
研究人员首先承认,虽然AD CS本身没有不安全之处,但它很难以安全的方式配置。许多错误配置可以由系统管理员和IT人员解释,他们启用设置是出于合理的原因,但没有完全理解更改设置带来的安全影响。
论文中的一个例子:
“GPO(组策略对象)设置名为“允许使用证书没有扩展的关键属性证书”的文档使它听起来像你需要翻转这个开关允许证书身份验证的所有目的EKU(扩展键使用),客户端身份验证EKU,或没有EKU在现代环境中。然而,这只是一个客户端设置。对这个GPO的一个较早的描述是,它会影响登录屏幕上显示的基于智能卡的证书,这与我们看到的行为相匹配。”
任何曾经使用过Windows GPOs的人都会认识到,有时要弄清楚改变设置会产生什么效果是多么困难。更不用说它将如何与其他设置一起影响安全性。
进攻的工具
研究人员决定,在BlackHat大会上展示之前,不要展示任何可以用于攻击目的的工具。
“我们认为,文章中描述的问题非常严重,范围非常广泛,有理由推迟发布攻击性工具。”
这给了那些易受攻击的人一些时间来修复他们的问题,并让安全提供商根据研究人员为他们的工具发布的IOCs/Yara规则实施保护证明和ForgeCert.
缓解
作为对本文的回应,微软发布了一份博客详细说明了最近与身份验证扩展保护相关的更新如何帮助保护Windows平台上的身份验证凭证。这包括更改被研究人员标记为严重安全问题的默认配置的操作。微软表示,它没有计划在更新中更改这个默认配置,因此建议系统管理员和it人员自己更改。
如果你对自己的AD CS设置的安全性感到好奇,研究人员发布了一个名为PSPKIAudit对AD CS的脆弱配置进行审计。他们的论文还包含了查找和修复易受攻击的AD CS配置的说明和指导方针。
评论